-Mô hình hóa hệ thống: Các đối tượng cần lưu trữ gần tương ứng với các bảng – với các thông tin chi tiết đủ để lên mô hình - Hệ thống cần phải có các chức năng liên quan đến truyền dữ li
Trang 1DANH SÁCH ĐĂNG KÝ BÀI TẬP LỚN
Môn:An toàn và Bảo mật hệ thống
Yêu cầu với mỗi nhóm:
1 Mỗi nhóm sẽ có 03 tiết để trình bày, trong đó:
- 01 tiết ở buổi trước sẽ trình bày về mô hình, phương pháp tiếp cận, vấn đề
dự định sẽ giải quyết và giải quyết được
- 02 tiết ở buổi sau sẽ trình bày về kết quả giải quyết theo định hướng và thảo luận, thống nhất về mô hình
2 Các sinh viên khác (không thuộc nhóm công việc) góp ý về phương pháp tiếp cận, dự định giải quyết của nhóm làm vào buổi 01, góp ý bổ sung, đưa
ra câu hỏi thắc mắc tại buổi 01 và buổi 02 Nắm các nội dung bởi đây là một phần nội dung môn học
3 Các báo cáo trước khi trình bày gửi cho giáo viên một bản để nhận xét và chính sửa trước lúc báo cáo 02 ngày vào hom thư uyennm@mta.edu.vn
Nhóm 1: Xây dựng giải pháp triển khai mã hóa cho CSDL, truyền dữ liệu
Yêu cầu cho nhóm 1:
- Mô hình hệ thống cần phân tích: Hệ thống quản lý điểm tín chỉ, cho học viên quân sự, dân sự học viện kỹ thuật lưu trữ
o Hệ thống lưu trữ tiến trình đào tạo, kế hoạch đào tạo (phòng đào tạo): Cấp học -> Ngành đào tạo (tin học) -> loại hình đào tạo ( KS5) -> môn học Năm học > học kỳ > lớp môn học (môn học + giáo viên)
-> sinh viên đăng ký
o Đăng ký môn học (cho sinh viên)
o Chấm điểm (cho giáo viên, phòng đào tạo)
o Tra cứu điểm (sinh viên, phòng đào tạo)
o In các báo cáo cá nhân (sinh viên)
o In các báo cáo tổng hợp, bằng, … (phòng đào tạo)
Sinh viên thực hiện:
Trang 2Đây là hệ thống vấn đề phân tích chung cho toàn bộ hệ thống, 6 module là sáu chức năng chính của hệ thống, không tách rời thành 6 hệ thống
-Mô hình hóa hệ thống: Các đối tượng cần lưu trữ (gần tương ứng với các bảng – với các thông tin chi tiết đủ để lên mô hình)
- Hệ thống cần phải có các chức năng liên quan đến truyền dữ liệu, lưu trữ liệu + phân tích về mức độ an toàn của các đối tượng -> cần phải đảm bảo mã hóa, toàn vẹn của dữ liệu Phân tích đưa các giải pháp và so sánh từ đó lựa chọn giải pháp được coi là phù hợp nhất
- Phân tích các loại dữ liệu xuất hiện trong hệ thống, mức độ bảo mật của dữ liệu, mức độ toàn vẹn, mức độ đúng đắn
- Nhu cầu lưu trữ, truyền dữ liệu trong hệ thống
- Mức độ quan trọng và tính mật của dữ liệu hệ thống
- Tần suất truyền, lưu trữ, truy xuất với các loại dữ liệu
- Đề xuất phương pháp mã hóa, băm để đảm bảo tính an toàn, toàn vẹn dữ liệu với hệ thống
Nhóm 2: Tìm hiểu phương pháp tấn công và phát hiện lỗi của các trang web Ứng dụng kiểm tra lỗi của trang web khoa công nghệ thông tin
- Thông tin về trang web:
+ Phát triển trên nền tảng Net (aspx)
+ Sử dụng SQL server làm hệ quản trị cơ sở dữ liệu
+ Triển khai trên shared host của viettel
+ Các phân hệ: phân hệ tin tức, trang riêng giáo viên, bộ môn, quản lý các lớp học Phân hệ của người quản trị, phân hệ của giáo viên
http://fit.mta.edu.vn/; http://fit.mta.edu.vn/~uyennm; http://fit.mta.edu.vn/dep-httt; http://fit.mta.edu.vn/admin; http://fit.mta.edu.vn/lecturer/login.aspx;
- Tìm hiểu các phương pháp tấn công và kiểm tra lỗi của các web site
- Tìm hiểu các nguy cơ với trang web khoa công nghệ thông tin
- Sử dụng các công cụ kiểm tra lỗi trên trên web, đưa ra giải pháp để giải quyết
Trang 3Nhóm 3: Xây dựng chức năng tấn công hệ thống, và kiểm tra tấn công phần mềm
Yêu cầu:
Hoặc xây dựng các ứng dụng sau: một virus + trình kiểm tra phát hiện; một worm + kiểm tra phát hiện; một trojan + kiểm tra phát hiện; công cụ tấn công hoặc theo dõi mạng
Sinh viên thực hiện:
- Phân tích xu hướng virus, worm, trojan, công cụ tấn công hiện tại:
- Lựa chọn một hướng trong các hướng trên:
- Mô tả các công nghệ trong hướng đó
- Xây dựng một ứng dụng như mô tả
- Thực hiện thử nghiệm trên máy ảo
Nhóm 4: Xây dựng quy định về sử dụng ứng dụng, và quy trình đảm bảo an toàn cho hệ thống
Yêu cầu:
Trang web của khoa công nghệ thông tin:
- Đưa thông tin các môn học, giáo viên giảng dạy môn học, tài liệu tham khảo cho các môn học, cập nhật điểm, cập nhật danh sách thi
- Cập nhật tin tức hoạt động, thông báo, …
- Đề tài của giáo viên cho sinh viên, và phản hồi (đang phát triển – giáo viên đưa , bộ môn ,khoa xét duyệt, sinh viên chọn, trao đổi giáo viên sinh viên, phân công hội đồng, thông tin đề tài, sinh viên tìm kiếm tham khảo,…)
- Cập nhật thông tin cho mỗi bộ môn
- Cập nhật thông tin cho mỗi giáo viên
- Hệ thống thông báo điểm, hồ sơ sinh viên: điểm, hồ sơ nhận từ phòng đào tạo, đưa lên, giáo viên chủ nhiệm đang nhập liệu, điểm được import vào từ danh sách phòng đào tạo Hệ thống phát triển theo mô hình mã sinh viên và xem điểm theo từng sinh viên
- Hệ thông đăng ký môn học cho sinh viên
Xây dựng quy trình về sử dụng ứng dụng, phân quyền, chức năng và quy trình cho hệ thống quản lý đào tạo khoa
Trang 4Hệ thống được mô tả ở trong bài một và có thể khảo sát thêm hoạt động của khoa Ban chủ nhiệm khoa, các bộ môn, giáo viên, ban quản lý sinh viên, tổ quản trị web, sinh viên
Sinh viên thực hiện:
- Phân tích các đe dọa
- Phân tích nguy cơ
- Thiết kế các hệ thống logic về phân quyền đảm bảo hoạt động của hệ thống
- Các chính sách, tiêu chuẩn, và các quy định với sử dụng hệ thống
- Các yêu cầu với phần mềm
Nhóm 5: Mô hình tấn công hệ thống
Yêu cầu:
Hiện tại hệ thống trang web của khoa (mô tả phần 1) đang hoạt động có hai phương án triển khai là thuê host nhà cung cấp dịch vụ (viettel) phương án là thuê hoặc tự triển khai máy chủ để triển khai, hãy phân tích khả năng tấn công vào mô hình và đưa ra lựa chọn phù hợp cho hệ thống
Đề xuất các dịch vụ và phương hướng đảm bảo an toàn, và kế hoạch công việc liên tục cho từng giải pháp
Tìm hiểu về việc triển khai SSL cho trang web trên các kịch bản
Sinh viên thực hiện:
- Phân tích các đặc điểm của mỗi mô hình và nguy cơ đặc trưng với xu hướng
sử dụng của mô hình
- Đánh giá sự thích hợp của mô hình với nguồn nhân lực và đầu tư của đơn vị
từ đó đề xuất lựa chọn giải pháp và đề xuất giải pháp kỹ thuật, nhân sự kèm theo với giải pháp đã lựa chọn
- Tìm hiểu việc triển khai SSL cho từng tình huống, chi phí và những thách thức
Nhóm 6: Xây dựng một trang web bị lỗi XSS; thực hiện các kịch bản tấn công XSS lên hệ thống đã xây dựng; thực hiện các thao tác thay đổi để loại bỏ tấn công
- Xây dựng một trang web có ẩn chứa lỗi XSS
Trang 5- Thực hiện các bước tấn công
- Thực hiện các bước thay đổi để không còn lỗi XSS
- Thực hiện kiểm tra
Nhóm 7: Xây dựng một trang web bị lỗi SQL injection; thực hiện các kịch bản tấn công SQL injection lên hệ thống đã xây dựng; thực hiện các thao tác thay đổi để loại bỏ tấn công
- Xây dựng một trang web có ẩn chứa lỗi SQL injection
- Thực hiện các bước tấn công
- Thực hiện các bước thay đổi để không còn lỗi SQL injection
- Thực hiện kiểm tra
Nhóm 8: Tìm hiểu các dịch vụ liên quan đến an toàn và bảo mật thông tin được cung cấp ở Vietnam Một trường đại học có một máy chủ web và cơ sở dữ liệu duy trì trang web của trường về quản lý đào tạo, hãy nêu những dạng dịch vụ cần phải tham khảo sử dụng
- Những nguy cơ của hệ thống phải đối mặt (sinh viên có thể mô tả rõ hơn hệ thống dựa trên mô hình của HVKTQS để giới hạn quá trình phân tích)
- Dịch vụ tư vấn đánh giá
- Dịch vụ kiểm tra đánh giá
- Các giải pháp kỹ thuật đảm bảo an toàn